Jak informowaliśmy w money.pl, 25 maja w Polsce weszły w życie przepisy dotyczące RODO. Wywołały niemałe zamieszanie. O czym trzeba pamiętać, aby żyć w zgodzie z RODO? Wyjaśniają eksperci Lex Digital.
1. Informuj swoich klientów o wszystkich zmianach, które dotyczą ich danych osobowych
Obowiązek informacyjny nie jest jednorazowym obowiązkiem Administratora Ochrony Danych. Nie wystarczy raz, przy okazji zmiany systemu ochrony danych poinformować osoby, których dane są przetwarzanie. Ten obowiązek spoczywa na ADO permanentnie.
Bez względu na podstawę prawną, w ramach której dane będą przetwarzane - regulamin, zgoda, interes ADO - osobom, których dane dotyczą, przysługuje prawo pełnego wglądu w zasady przetwarzania ich danych, a każdy administrator musi do prawo spełnić, bez względu na czas pozyskania danych.
Zmiana komunikatów dotyczących ochrony danych, w związku z wejściem w życie RODO, została zakomunikowana obecnym klientom czy użytkownikom. Każda nowa osoba, która zechce skorzystać z oferowanych usług, musi mieć dostęp do wszystkich informacji związanych z zasadami przetwarzania jej danych osobowych. Administrator musi poinformować wszystkich, których dane posiada o procesach jakim będą poddawane dane osobowe.
Dlatego jednorazowa informacja przekazana np. mailem, do obecnej bazy, nie jest wystarczająca. W tym celu należy stworzyć Politykę Prywatności i za jej pośrednictwem udostępnić wszystkie informacje dotyczące przetwarzania danych osobowych swoich klientów czy użytkowników.
Dodatkowo należy pamiętać, że każda zmiana związana z działaniami na danych osobowych np. udostępnianie kolejnym podmiotom trzecim, zmiana zakresu przetwarzanych danych w związku z realizacją usługi, musi zostać zakomunikowana osobom, których dane dotyczą.
2. Przechowuj treść odebranej zgody
Wielu Administratorów pozyskuje dodatkowe dane osobowe, które nie są potrzebne do realizacji świadczonej usługi, w ramach której zawarta została umowa. Najczęściej dotyczy to działań marketingowych, czy wysyłki newslettera. Aby zgodnie z prawem przetwarzać takie dane potrzebna jest osobna podstawa prawna - tutaj najczęściej wykorzystywana jest zgoda osoby której dane dotyczą.
Sposobów na wyrażenie i pozyskanie zgody na przetwarzanie danych osobowych, aby była zgoda na prawem jest wiele. Bez względu jednak na jak zostanie ona odebrania, należy posiadać dowód jej pozyskania. Nie wystarczy jednak, w bazie kontaktów, w kolumnie "zgoda” zaznaczyć - tak. Należy udowodnić, że osoba, która zgodę wyraziła otrzymała od nas wszystkie niezbędne informacje dotyczące działań związanych z jej danym. Oznacza to, że razem z potwierdzeniem, trzeba przechowywać treść zgody, która została przekazana danej osobie.
3. Zawieraj umowy powierzenia danych z nowymi kontrahentami
Obecnie, niezwykle popularnym jest korzystanie z usług innych przedsiębiorstw, które na zlecenie wykonują usługi związane z działaniem firmy. To chociażby firmy księgowe, kancelarie prawnicze, firmy szkoleniowe czy agencje marketingowe. W zależności od świadczonej usługi, firma korzystająca z outsourcingu zmuszona jest przekazać dane swoich pracowników lub klientów. W takich przypadkach każdy administrator danych osobowych, musi zawrzeć z podmiotem zewnętrznym umowę powierzenia przetwarzania danych.
Należy pamiętać, że każda nowa firma, z którą rozpoczniemy współpracę, w ramach której będzie przetwarzać dane osobowe, których jesteśmy Administratorem, musi zawrzeć z nami taką umowę - mówi Katarzyna Muszyńska, ekspert ds. ochrony danych osobowych, LexDigital.
Poza obowiązkiem związanym z zawarciem umowy powierzenia przetwarzania danych przy rozpoczęciu współpracy, należy pamiętać o zabezpieczeniu powierzonych danych po jej zakończeniu. Obowiązkiem każdego ADO, który przekazuje dane jest zapewnienie, że zostaną one zwrócone lub usunięte, razem z wszelkimi istniejącymi kopiami. Wyjątek od tego obowiązku istnieje tylko wówczas, gdy prawo stanowi inaczej np. ze względu na sprawozdawczość finansową.
4. Prowadź rejestr naruszeń
RODO wprowadza obowiązek dokumentowania przez Administratora Danych Osobowych wszelkich naruszeń związanych z ochroną danych osobowych. Najlepszym rozwiązaniem, zapewniającym poprawne jego wypełnienie jej prowadzenie wewnętrznego rejestru naruszeń.
Administrator musi udokumentować zarówno okoliczności naruszenia, skutki dla bezpieczeństwa ochrony danych oraz podjęte środki zaradcze. W ramach naruszenia należy przede wszystkim dokumentować kategorie danych osobowych i kategorie osób, których dotyczy naruszenia. Konieczne jest również wskazanie konsekwencji jakie dane naruszenie wywołało dla osób nim dotkniętych.
Prowadzenie rejestru naruszeń, ma przede wszystkim wykazać podczas kontroli organu nadzorczego, że działania podjęte w ramach wykroczenia, były adekwatne wobec zaistniałej sytuacji. Warto pamiętać, że naruszenia bezpieczeństwa danych osobowych mają miejsce i nie ma potrzeby tego tuszować. Gorszym zachowaniem, względem organu nadzorczego będzie udowadnianie, że naruszeń nie było, dlatego rejestr jest pusty. Zgubienie telefony służbowego, wykrycie niebezpiecznego programu na komputerach służbowych - to sytuacje, które zdarzają się w każdej firmie. Brak choćby tak podstawowych przewinień w rejestrze naruszeń, będzie dowodem dla organu kontrolującego, że w danej firmie postanowienia RODO nie są przestrzegane.
5. Organizuj szkolenia dla swoich pracowników
Odpowiedzialność za bezpieczeństwo przetwarzanych danych osobowych w firmie spoczywa na Administratorze Danych Osobowych. Dlatego w interesie każdego kto zatrudnia osoby, które w ramach swoich obowiązków przetwarzają dane osobowe klientów, kontrahentów, czy współpracowników jest zapewnienie wysokiego poziomu wiedzy na temat ochrony danych.
Wiedza w tym zakresie pozwoli zrozumieć jaką wartość dla firmy stanowią wszystkie gromadzone dane - zarówno te osobowe, ale także informacje dotyczące zasad funkcjonowania firmy itp. Brak wiedzy przyczynia się do powtarzania rutynowych zachowań, które z pozoru wydają się błahe w rzeczywistości stoją w sprzeczności z RODO, ponieważ nie zapewniają koniecznej ochrony gromadzonych i przetwarzanych danych. Do najczęściej występujących można zaliczyć np. niezabezpieczenie służbowych urządzeń mobilnych (telefony i laptopy) hasłami, pozostawianie umów bez nadzoru, przesyłanie mailowo plików, baz danych nie zabezpieczonych hasłem.
Szkolenia podnoszą świadomość, wskazują najczęściej popełniane codzienne błędy, które mogą narazić firmę na straty zarówno finansowe jak również wizerunkowe.
Masz newsa, zdjęcie lub filmik? Prześlij nam przez dziejesie.wp.pl